Авторы: Емельянов А.А., Коршунов И.Л., Микадзе С.Ю.
Статья представляет собой расширенную версию экспертного заключения, подготовленного Коршуновым И.Л. (см.: https://roscongress.org/materials/kibervoyna-uzhe-idet/) для Петербургского международного экономического форума – 2022 по результатам сессии «Милитаризация киберпространства: как пройти идеальный шторм». [Электронный ресурс]. Режим доступа: https://roscongress.org/sessions/spief-uroki-kiberkrizisa-chto-zhdat-v-budushchem/translation/.
Введение
В последние годы на форумах различного уровня активно обсуждались проблемы цифрового суверенитета нашей страны. Одним из первых понятие «цифровой суверенитет» ввел Игорь Ашманов. Он предложил определить цифровой суверенитет как «право государства определять свою информационную политику самостоятельно, распоряжаться инфраструктурой, ресурсами, обеспечивать информационную безопасность» [1]. Цифровой суверенитет предполагает, в частности, и защиту от кибератак. В результате все субъекты отношений в этой сфере (государство, бизнес и общество) пришли к единому мнению – без цифрового суверенитета, без надежной защиты информационного пространства от кибератак Россия существовать не может.
Авторитетными ИТ-специалистами были сформированы подходы к решению проблемы обеспечения цифрового суверенитета. Государство приступило к реализации конкретных шагов в направлении решения этой проблемы. К сожалению, шаги эти не очень активные и не всегда продуманные, принимаются они в ряде случаев с большим запаздыванием. Например, в мае 2018 года Минкомсвязи России приступило к разработке документов о переводе владельцев объектов критической информационной инфраструктуры (КИИ) на использование отечественного и евразийского программного обеспечения с 01.01.2021 и на отечественные аппаратные средства – с 01.01.2022. Изначально устанавливаемые сроки были нереальны. Тем самым чиновники заведомо создавали условия для саботажа владельцами объектов КИИ этого решения, вместо того чтобы составить реальные планы перехода на отечественные программно-аппаратные средства в течение нескольких лет.
Другой пример: доработка систем безопасности объектов КИИ и государственных структур, которая проводилась в последние годы. При создании систем безопасности объектов КИИ у владельцев этих объектов отсутствовали стимулы для выполнения необходимых работ. Проще было купить документы, подтверждающие соответствие имеющейся системы установленным требованиям или заплатить штраф за нарушение правил, составлявший сотни тысяч рублей, вместо создания системы безопасности, затраты на создание которой оценивалась в несколько миллионов рублей. С другой стороны, передовые компании (например, Сбер), понимали, что качественные системы защиты становятся их конкурентным преимуществом, поэтому они уделяют большое внимание разработке и внедрению собственных систем безопасности.
До недавнего времени каждая компания самостоятельно решала задачи кибербезопасности, выстраивая вертикальные системы защиты вокруг одного ядра. Это – достаточно быстрое и эффективное решение. Но опыт отражения сложных кибератак показал, что для эффективного противодействия им необходимо создавать горизонтальные системы, единые для участников рынка. Практика показывает, что договориться участникам бывает очень сложно, это длительный процесс, он требует использования государственных инструментов. Уже имеется пример успешного решения этой проблемы – создана и показала хорошие результаты Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
В целом, ситуация в сфере кибербезопасности отличается достаточно серьезной неоднозначностью – как с точки зрения терминологического аппарата, так и в тех аспектах, которые касаются реализации угроз информационной безопасности, методов воздействия, классификации и, в особенности, законодательных актов, описывающих ответственность за те или иные вредоносные воздействия на различные информационные системы. Иными словами, часто возникают ситуации, когда в результате недостаточной проработанности юридической базы не удается привлечь к ответственности лиц, реализующих преднамеренные вредоносные воздействия, в силу ряда различных факторов. К таковым относятся: нахождение вне юрисдикции российского законодательства, низкий уровень согласованности нормативно-правовых актов, регламентирующих выдачу лиц, осуществляющих вредоносные действия по от-ношению к иным странам, и, зачастую, использование киберпреступников как инструмента дестабилизирующего воздействия на социально-политическую ситуацию в РФ.
Даже в ситуации, когда инициаторы вредоносной активности находятся внутри страны, возникают сложности с оперативным выявлением и пресечением их противозаконной деятельности. Это связано с довольно низким уровнем компьютерной грамотности сотрудников силовых органов, а также с общим падением уровня образования – как в школах, так и в высших учебных заведениях. Можно утверждать, что при сохранении тенденции к дальнейшему ухудшению качества выпускаемых бакалавров, специалистов и магистров профильных ВУЗов, ситуация в сфере анализа, выявления и пресечения киберугроз станет неудовлетворительной. Решением может послужить привлечение к преподавательской работе хорошо зарекомендовавших себя в практической деятельности профессионалов, имеющих опыт реальной работы в описываемой сфере. К сожалению, данный шаг потребует существенных инвестиций, так как уровень оплаты педагога, имеющего ученую степень доктора наук и ученое звание профессора (то есть преподавателя, достигшего максимума в своем развитии), в несколько раз ниже, чем зарплата начинающего IT-специалиста.
С началом специальной военной операции на Украине вопросы цифрового суверенитета России встали с новой остротой. Цифровое пространство России подверглось интенсивным кибератакам. В средствах массовой информации активно обсуждался вопрос о фактическом начале кибервойны. Эти вопросы требуют боле детального изучения.
Кибератаки на цифровое пространство России
Ситуация в информационном пространстве России резко изменилась после начала специальной военной операции. Количество кибератак на различные информационные объекты нашей страны увеличились в десятки раз. На портале Securitylab [2] приведены примеры атак, которые были совершены на объекты в первую неделю специальной военной операции: агрохаб «Селятино» (Московская область), электрозаправочные станции на трассе Москва – Санкт-Петербург, средства массовой информации (ТАСС, Коммерсант, Фонтанка, РБК, Известия), финансовые организации, авиакомпании, предприятия энергетического и нефтегазового сектора, ритейл. Так, 26 февраля 2022 года было зафиксировано более 50 DDoS-атак мощностью более 1 Тбайта, а также ряд профессиональных целевых атак на портал госуслуг. 9 мая 2022 г. была совершена серьезная целевая атака на видеохостинг Rutube.
Статистику по целевым атакам центра кибербезопасности Ростелекома за четыре месяца специальной военной операции привел на Петербургском международном экономическом форуме – 2022 Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком» [3]. За указанный период число кибератак увеличилось в семь раз. Самыми атакуемыми инфраструктурами являются: медиа (17%), сайты госведомств (15%), системы госуправления (12%), банки, ритейл (10%). Основные векторы атак: атаки через подрядчиков (27%), утечки учетных записей (23%), фишинг (19%), уязвимости в приложениях (13%), партнерские сети (10%), инсайдеры (8%). Количество закладок в открытом программном обеспечении (open-source) с марта до июня увеличилось более чем в три раза (примерно с 30 до 100 в месяц).
Анализ сведений об атаках, приведенных в открытой печати, позволяет сделать ряд выводов. Общей целью кибератак являлось нарушение информационной инфраструктуры страны, лишение ее цифрового суверенитета. Цель конкретной кибератаки состояла в выводе из строя определенного или случайного (оказавшегося доступным) объекта информационной инфраструктуры. Объекты кибератак выбирались целенаправленно (прежде всего – объекты КИИ), но чаще случайным образом – объекты, которые оказывались не защищенными (как правило, средства массовой информации). Основной вид атак – DDoS-атаки с намерением приостановить работу сайта или посеять панику.
На фоне напряженной обстановки, сформированной многочисленными DDoS-атаками, осуществлялись и целевые атаки на государственные и социально значимые ресурсы с целью уничтожения кон-тента и инфраструктуры (например, атака на Rutube 9 мая). Для реализации DDoS-атак использовались бесплатные инструменты, базы данных и инструкции по организации и проведению кибератак с указанием объектов, на которые целесообразно направлять атаки. Все эти материалы размещались в даркнете (DarkNet). Для реализации целевых атак использовались профессиональные методы и инструменты, и осуществляли их профессиональные хакеры. Большинство кибератак выполнялось с территории Украины.
Субъектами (участниками) кибератак, как правило, являлись граждане Украины, не обладающие серьезными знаниями и навыками хакера. По оценке экспертов, украинская «армия хакеров» состоит из 200-500 тысяч человек, одновременно в атаках принимает участие до 100 тысяч человек. В кибератаках на российские объекты участвовали хакеры и из других стран. После начала специальной военной операции хакерское сообщество, естественно, разделилось на две части: одна часть поддерживает Россию, вторая – выступает против нее. Появилось большое количество хакеров-любителей, которые своими действиями хотят выразить свое отношение к происходящим событиям.
В качестве общего итога по результатам кибератак на российскую информационную инфраструктуру можно констатировать, что она в целом сохранила свою жизнеспособность. Пострадали объекты, на которых мероприятия по информационной безопасности не реализовывались должным образом. В первую очередь, это – средства массовой информации. Анализ проведенных атак позволяет сделать вывод, что наибольших успехов они достигли в отношении средств массовой информации.
Кибервойна или только подготовка к ней?
Резкое увеличение количества кибератак на информационную инфраструктуру России позволяет считать правомочным вопрос, вынесенный в заголовок данного раздела статьи. Прежде чем ответить на него, следует определить понятие «кибервойна». Впервые данное определение вошло в Оксфордский словарь английского языка в 1994 году. Поводом для его активного использования стали хакерская атака на государственные сайты Эстонии в 2007 году и вывод из строя грузинских интернет-сетей в 2008 году. Введение этого термина позволило выделить из понятия «информационная война» вопросы, связанные с целенаправленными воздействиями на различные материальные объекты в пространстве Интернета.
На данный момент отсутствует единое общепризнанное определение понятия «кибервойна». Если считать, что кибервойна есть одна из разновидностей войны, то целесообразно обратиться к классику военного искусства Карлу Клаузевицу, который в своем фундаментальном труде «О войне» [5] дал следующее определение: «Война – это акт насилия, имеющий целью заставить противника выполнить нашу волю». Таким образом, война воспринимается как насилие, следовательно, кибервойна выполняет те же функции только в специфической области – пространстве Интернета.
Целесообразно привести определение Ричарда А. Кларка, эксперта по безопасности правительства США, данное им в книге «Кибервойна» [4]. Он определяет кибервойну как действия одного национального государства путем проникновения в компьютеры или сети другого национального государства для достижения целей нанесения ущерба или разрушения. Приведенные определения позволяют сделать вывод, что кибервойна ведется между государствами и направлена на реализацию насильственных действий в интернет-пространстве. Они связаны с разрушением информационной инфраструктуры, уничтожением аппаратных и программных средств, пропагандой чуждых государству ценностей, распространением ложной информации, т.е. со всеми действиями, ведущими к экономическому краху и моральному разложению народа.
Исходя из этой позиции, анализ последних событий в информационном пространстве России позволяет сделать вывод, что в настоящее время война в киберпространстве для России пока не началась. Анализ кибератак, приведенный выше, констатирует, что против нашей страны действуют не государственные структуры других государств (за исключением Украины), а хакерские группировки и индивидуальные хакеры-любители. Нельзя исключить участие иностранных государственных структур в проводимых кибератаках, но делают они это опосредованно, оплачивая деятельность хакерских группировок или поддерживая (материально и организационно) работу хакеров-любителей. Иногда они и сами организуют целевые атаки на наши объекты КИИ с целью отработки новых методов и инструментов, но делают это нерегулярно и анонимно.
Вызывает тревогу ситуация, складывающаяся на Украине; страна стала международным террористическим центром в киберпространстве. С одной стороны, можно объяснить желание определенной части украинцев принять участие в «боевых действиях» в киберпространстве. С другой стороны, серьезное беспокойство вызывает стремление США создать и поддерживать существование такого террористического центра в киберпространстве для решения своих национальных задач. Они активно финансируют, обучают и снабжают современными инструментами украинских хакеров. Тем самым, создают опасную ситуацию для себя – однажды кибертеррористы могут направить свои усилия против США и их партнеров.
Состояние системы информационной безопасности России
Как было отмечено в начале статьи, цифровой суверенитет предполагает защиту от кибератак, т.е. наличие системы информационной безопасности. Созданием такой системы государство занимается уже давно, считая вопросы информационной безопасности приоритетными. Начиная с 2010 года, оно поддерживает отечественные разработки аппаратных и программных средств; более 30 млрд рублей вложено в создание российских технологий в области информационной безопасности. Проводятся организационные мероприятия, при ФСБ РФ в 2018 году создан Национальный координационный центр по компьютерным инцидентам. Его основным назначением является оперативное реагирование на компьютерные инциденты, связанные с кибератаками.
Ежегодно на площадках Петербургского международного экономического форума обсуждаются вопросы информационного суверенитета России и ее информационной безопасности. По мнению Александра Шойтова, заместителя Министра цифрового развития, связи и массовых коммуникаций РФ [3], в нашей стране существует полноценная система информационной безопасности, которая предполагает наличие требований, сформированных законодательными актами, контроля, выполняемого государственными надзорными органами (регуляторами) и созданных условий в виде господдержки для деятельности компаний в области информационной безопасности.
По мнению экспертов, многочисленные кибератаки на нашу информационную инфраструктуру продемонстрировали жизнеспособность и устойчивость системы информационной безопасности объектов КИИ. В ходе интенсивных атак наши ИТ-специалисты подтвердили свой профессионализм, они ликвидировали последствия атак и восстанавливали системы за нескольких дней, когда мировой опыт утверждает, что такие работы выполняются неделями. Без сомнения, было достаточно успешных кибератак, которые приводили к нарушению ИТ-инфраструктуры отдельных организаций, взлому сайтов (особенно средств массовой информации). Но подавляющее большинство объектов КИИ выстояли.
Анализ успешных кибератак позволяет сделать следующие выводы. Во-первых, фактор неожиданности и недооценка киберугроз позволили хакерам провести успешные атаки. Как правило, организациями, формально относящимися к выполнению требований информационной безопасности, являлись медийные организации. Во-вторых, многие организации использовали зарубежные средства защиты, которые «неожиданно» прекратили работать, образовав бреши в защищаемых системах. В-третьих, ряд организаций при определении угроз и построении системы информационной безопасности ориентировались на типовые угрозы, а атакующие на практике применили кибервандализм, пытались взломать все что угодно, не придерживаясь логики. Таким образом, кибератаки имели только частные успехи.
Происшедшие события в киберпространстве изменили отношение общественности в стране к информационной безопасности. Произошло объединение как на уровне отдельных специалистов по информационной безопасности, так и конкурирующих компаний перед лицом киберугрозы. Специалисты, которых раньше было сложно собрать вместе для обсуждения проблемы, теперь работают совместно над проектами по созданию коллективных систем информационной безопасности. Руководители разного уровня прониклись необходимостью создавать реальные системы защиты информации на предприятии.
Отчасти этому способствовала деятельность государства в данной области. В частности, значимую роль играют Указы Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ» [6] и № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности РФ» [7], а также поручение Президента РФ о разработке государственной системы по защите информации, высказанное им на заседании Совета безопасности РФ 20 мая 2022 года [8].
В последнее время ситуация в данной предметной области стабилизировалась. Началась плановая работа по совершенствованию системы информационной безопасности России. Она ведется по разным направлениям: разрабатываются новые законодательные акты; государство координирует работы по созданию условий для развития системы информационной безопасности страны; организации решают практические задачи информационной безопасности.
Рекомендации по совершенствованию системы информационной безопасности России
В рамках Петербургского международного экономического форума – 2022 участниками обсуждения проблем цифрового суверенитета России в условиях резкого увеличения киберугроз был сформулирован ряд рекомендаций по совершенствованию системы информационной безопасности России.
1. Целесообразно пересмотреть положение Доктрины информационной безопасности РФ в части, касающейся запрещения ведения наступательных действий в киберпространстве. Доктрина отражает позицию России в ООН по запрету наступательных операций в киберпространстве. Западные страны придерживаются противоположной точки зрения. Последние события по отражению многочисленных кибератак показывают, что без активного противодействия и подавления организаторов кибератак обеспечить информационный суверенитет России невозможно. В связи с этим руководству страны следует еще раз вернуться к определению позиции России в данном вопросе.
2. Правительству страны следует уделить более серьезное внимание реализации программы импортозамещения программного обеспечения и программы развития отечественной микроэлектроники. Если перспективы разработки отечественного программного обеспечения выглядят более-менее реалистичными, то планы создания российской микроэлектроники кажутся призрачными. В то же время, без отечественных программно-аппаратных средств построить надежную систему информационной безопасности не представляется возможным.
3. Следует совершенствовать законодательство в сфере киберпреступлений. Необходимость совершенствования государственной политики по противодействию преступлениям в сфере информационных технологий имеет два аспекта. Во-первых, это связано с трансграничностью подобных преступлений, они становятся международными, следовательно, требуют заключения межгосударственных соглашений по борьбе с ними. Во-вторых, преступления, совершаемые в сфере информационных технологий внутри страны, существенным образом отличаются от традиционных преступлений и требуют применения специфических процедур расследования.
4. Необходимо развивать культуру общения коллег по информационной безопасности различных организаций одной отрасли, а также с представителями отечественного ИБ-рынка. Взаимный обмен информацией об инцидентах, ценными для ИБ-специалистов данными должен стать нормой. Это позволит создать экосистему информационной безопасности для отрасли, внутри которой будут использоваться разные решения для защиты от кибератак, будет осуществляться обмен данными об инцидентах, инструментах и тактиках, применяемых злоумышленниками.
5. Обеспечить повышение грамотности сотрудников и отдельных граждан в области информационной безопасности. Повышение осведомленности в вопросах информационной безопасности уже стало обязательной частью текущей работы в организациях, стремящихся уменьшить ущерб от возможных кибератак. Необходимо также обратить внимание на формирование у каждого гражданина Российской Федерации умений и навыков в сфере информационной безопасности, которые обеспечат ему безопасное пребывание в информационном пространстве.
6. Следует шире применять меры по информированию регулятором пользователей о состоянии дел в информационной безопасности, рекомендациях по защите информации, об отечественных решениях, которыми можно воспользоваться. Предлагается регулятору заниматься не только контролирующими функциями, но и вести информационную работу.
Наряду с общими рекомендациями, отдельно были сформулированы рекомендации для медиакомпаний, т.к. реализованные кибератаки продемонстрировали их уязвимость. Прошедшие события показали, что многие средства массовой информации пренебрегали вопросами информационной безопасности либо относились к ним формально. В связи с этим они должны в сжатые сроки провести интенсивную и эффективную работу по защите медийного пространства. За несколько месяцев они должны выполнить объем работ, который в других странах выполняется за несколько лет.
В масштабах отрасли целесообразно создать специальный медийный консорциум с привлечением ИБ-специалистов для оценки рисков в киберпространстве и создания структуры коллективного противодействия кибератакам. Результатами такой работы должны стать технические задания для компаний по информационной безопасности на разработку систем информационной безопасности СМИ. Руководитель медиакомпании, как и руководитель предприятия-объекта КИИ, должен нести персональную ответственность за выполнение требований по информационной безопасности в организации.
Следующая проблема, требующая решения, это – отключение российских СМИ от международных цифровых платформ. Прекращение деятельности в нашей стране западных социальных онлайн-платформ (Mega, YouTube, Twitter) привело к перетеканию российских пользователей социальных сетей на отечественные ресурсы (Rutube, ВК, Yappy). Сложилась уникальная ситуация для создания отечественной экосистемы цифровых сервисов (подобные системы имеются только в США и Китае). Необходима совместная плодотворная работа государственных структур, медиакомпаний и инвесторов по разработке контента и сервисов, организации эффективной маркетинговой деятельности. В случае успешного решения этой задачи, в сочетании с решением проблемы защиты информации, можно будет утверждать о наличии национального медийного суверенитета.
Большинство из перечисленных рекомендаций не являются новыми, часть из них уже находится на стадии реализации. Сложившаяся ситуация в области информационной безопасности в стране требует повторного обращения к ним с целью их корректировки и скорейшей реализации.
Заключение
Резкое обострение ситуации в цифровом пространстве России имело положительные результаты. У руководителей различного уровня появилось понимание необходимости обеспечения информационной безопасности предприятий. Произошла консолидация предприятий для совместного более эффективного решения задач противодействия кибератакам. Дан новый импульс для создания отечественного программного обеспечения и отечественной микроэлектроники. События подтвердили высокий профессиональный уровень отечественных ИТ-специалистов. Российским опытом противодействия кибератакам активно заинтересовались страны, стремящиеся вести независимую политику.
ИСПОЛЬЗОВАННЫЕ ИСТОЧНИКИ
1. Ашманов И. Информационный суверенитет России: новая реальность. [Электронный ресурс]. Режим доступа:
https://vk.com/video-95770456_456239073 (дата обращения 05.11.2022).
2. Обзор информационной безопасности за период с 25 февраля по 2 марта 2022 года. [Электронный ресурс]. Режим доступа:
https://www.securitylab.ru/news/530398.php (дата обращения 05.11.2022).
3. Милитаризация киберпространства: как пройти идеальный шторм. [Электронный ресурс]. Режим доступа:
https://roscongress.org/sessions/spief-uroki-kiberkrizisa-chto-zhdat-v-budushchem/translation/ (дата обращения 05.11.2022).
4. Clarke R.A. Cyber War. HarperCollins, 2010.
5. Клаузевиц К., фон. О войне. М.: Эксмо-Пресс, 2021. 160 с.
6. Указ Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ».
7. Указ Президента РФ № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности РФ».
8. Против России развязана настоящая война. Как она будет защищаться. [Электронный ресурс]. Режим доступа:
https://www.gazeta.ru/politics/2022/05/20/14882558.shtml (дата обращения 05.11.2022).
© Емельянов А.А., Коршунов И.Л., Микадзе С.Ю., 2022
Александр Александрович Емельянов — кандидат технических наук, доцент кафедры информационных систем и технологий Санкт-Петербургского государственного экономического университета.
Игорь Львович Коршунов — кандидат технических наук, доцент, заведующий кафедрой информационных систем и технологий Санкт-Петербургского государственного экономического университета.
Сергей Юрьевич Микадзе — кандидат экономических наук, проректор Санкт-Петербургского государственного экономического университета.
